Mathematische Grundlagen der Kryptografie (1321) SS05

Klausur am 20.08.2005:
Aufgabenstellungen

I. Die Lösungen der folgenden Aufgaben brauchen Sie nicht zu be-

gründen.

Aufgabe I.1

Verschlüsseln Sie das Wort HALLO mit

(a) der Caesar-Verschiebung und dem Schlüssel 5.

(b) dem Permutationskryptosystem mit Schlüsselwort = (Ihr Vorname) und

Schlüsselbuchstaben = (erster Buchstabe Ihres Nachnamens).

(c) dem affinen Kryptosystem und dem Schlüssel (a, b) = (3, 5).

[2 + 2 + 2 = 6 Punkte]

Aufgabe I.2

Zählen Sie alle primitiven Elemente von F11 auf.

[4 Punkte]

Aufgabe I.3
p √
Welchen Grad hat das Minimalpolynom von 1 + 3 über Q?

[4 Punkte]

Aufgabe I.4

Welche Gruppenstruktur kann eine elliptische Kurve mit 72 Elementen haben?

[4 Punkte]

c 2006 Fernuniversität in Hagen

Klausuraufgaben MathKrypt KL / 2

Aufgabe I.5

Formulieren Sie den Satz von Lagrange.

[4 Punkte]
Klausuraufgaben MathKrypt KL / 3

II. Die Lösungen der folgenden Aufgaben sollen begründet werden.

Aufgabe II.1

Der Text DPYDBLUZJOLUPOULUCPLSLYMVSNPUKLYRSHBZBY ist mit der

Caesar-Verschiebung verschlüsselt. Wie lautet der Klartext?

[10 Punkte]

Aufgabe II.2

Beschreiben Sie das Diffie-Hellman-Schlüsselaustauschsystem über elliptischen Kur-

ven:

(a) Gegeben sei eine elliptische Kurve E(a, b, IK). Was ist der öffentliche Schlüssel,
und welche Bedingungen sollten der öffentliche Schlüssel und die elliptische
Kurve erfüllen?

(b) Was machen Alice und Bob, um den gemeinsamen Schlüssel zu erzeugen?

(c) Was ist der gemeinsame (geheime) Schlüssel?

(d) Auf welchen Annahmen beruht die Sicherheit dieses Systems?

[3 + 2 + 2 + 3 = 10 Punkte]

Aufgabe II.3
 
x1
3
Sei L = {x ∈ Z | x = x2  und x1 ≡ x2 (mod3) und x1 ≡ x3 (mod4)}.
 

x3

(a) Zeigen Sie, dass L ein Gitter ist und bestimmen Sie eine Basis des Gitters.

(b) Bestimmen Sie det L.

[8 + 2 = 10 Punkte]
Klausuraufgaben MathKrypt KL / 4

Aufgabe II.4

Sei q eine Primpotenz. Zeigen Sie: Jedes quadratische Polynom aus Fq [T ] zerfällt
über Fq2 in Linearfaktoren.

[10 Punkte]

Aufgabe II.5

(a) Sei p eine Primzahl, a ∈ Z mit p ∤ a. Sei a−1 ∈ Z mit aa−1 ≡ 1 mod p. Zeigen
Sie: ( a p ) = ( ap ).
−1

(b) Sei p eine Primzahl und a, b ∈ Z. Zeigen Sie: Es gilt ( ap ) = ( pb ) genau dann,
wenn es ein z ∈ Z mit z 6= 0 und a ≡ bz 2 (modp) gibt.

[4 + 6 Punkte]

Aufgabe II.6

Wenn man mit dem RSA-Verfahren eine Nachricht n zweimal verschlüsselt und
zwar mit den öffentlichen Schlüsseln (m, e) und (m, f ), und wenn ggT(e, f ) = 1
gilt, dann kann man den Klartext n aus den beiden Schlüsseltexten ce = ne mod m
und cf = nf mod m berechnen. Wie?

[8 Punkte]
Mathematische Grundlagen der Kryptografie (1321) SoSe 05
Klausur am 20.08.2005:
Lösungsvorschläge zu den Aufgaben

zu Aufgabe I.1

(a) Das Wort HALLO mit der Caesar-Verschiebung und dem Schlüssel 5 verschlüsselt
ist MFQQT.

(b) Das Wort HALLO verschlüsselt mit dem Permutationskryptosystem und dem
Schlüssel SILKE und dem Schlüsselbuchstaben H ist STEEC.

(c) Das Wort HALLO mit dem affinen Kryptosystem und dem Schlüssel (a, b) =
(3, 5) verschlüsselt ist AFMMV.

zu Aufgabe I.2

Die primitiven Elemente von F11 sind 2, 8, 7, 6.

zu Aufgabe I.3
p √
Der Grad des Minimalpolynoms von 1+ 3 ist 4.

zu Aufgabe I.4

Eine elliptische Kurve mit 72 = 23 ·32 Elementen kann folgende Struktur haben: Z/72Z
oder Z/2Z × Z/36Z oder Z/3Z × Z/24Z oder Z/6Z × Z/12Z.

zu Aufgabe I.5

Der Satz von Lagrange lautet folgendermaßen: Sei G eine endliche Gruppe und H eine
Untergruppe. Dann gilt |G| = [G : H] · |H|.

c 2006 Fernuniversität in Hagen

Lösungsvorschläge zur Klausur MathKrypt KLL / 2

zu Aufgabe II.1

Der Text DPYDBLUZJOLUPOULUCPLSLYMVSNPUKLYRSHBZBY ist mit der

Caesar-Verschiebung verschlüsselt.

Behauptung Der Klartext lautet WIR WUENSCHEN IHNEN VIEL ERFOLG IN

DER KLAUSUR.

Beweis Da die Caesar-Verschiebung ein monoalphabetisches Kryptosystem ist, hilft

hier eine Häufigkeitsanalyse der Buchstaben:

Buchstabe A B C D E F G H I J K L M N O P Q R
Häufigkeit - 3 1 2 - - - 1 - 1 1 6 1 1 2 4 - 1

S T U V W X Y Z
3 - 5 1 - - 4 2
Der häufigste Buchstabe ist also das L. Die Vermutung liegt nahe, dass das L dem E
entspricht, bzw. die 11 der 4. Damit wäre der Schlüssel dann 7 und die Verschlüsse-
lungsabbildung

Klartext A B C D E F G H I J K L M N O P Q
Geheimtext H I J K L M N O P Q R S T U V W X

R S T U V W X Y Z
Y Z A B C D E F G
Damit ist der Klartext WIRWUENSCHENIHNENVIELERFOLGINDERKLAUSUR
oder WIR WUENSCHEN IHNEN VIEL ERFOLG IN DER KLAUSUR.

zu Aufgabe II.2

Wir beschreiben das Diffie-Hellman-Schlüsselaustauschsystem über elliptischen Kur-

ven:

(a) Gegeben sei eine elliptische Kurve E(a, b, IK). Der öffentliche Schlüssel ist ein
Punkt S auf der Kurve, der eine möglichst große Untergruppe der Kurve erzeugt.
Optimal ist eine elliptische Kurve, die zyklisch ist, und S ist ein erzeugendes
Element.

(b) Alice wählt zufällig eine natürliche Zahl eA und berechnet eA S. Bob wählt eben-
falls zufällig eine natürliche Zahl eB und berechnet eB S.

(c) Der gemeinsame (geheime) Schlüssel ist eA eB S.

Lösungsvorschläge zur Klausur MathKrypt KLL / 3

(d) Die Sicherheit des Systems beruht zum einen auf der Annahme, dass das diskreter
Logarithmus Problem über elliptischen Kurven schwer zu lösen ist. Zum zweiten
beruht die Sicherheit auf der Annahme, dass das diskreter Logarithmus Problem
gelöst werden muss, um das Diffie-Hellman-System zu brechen.

zu Aufgabe II.3
 
x1
3
Sei L = {x ∈ Z | x = x2  mit x1 ≡ x2 (mod3) und x1 ≡ x3 (mod4)}.
 

x3

     
1 0 0
(a) Behauptung Die Menge L ist ein Gitter mit Basis 1 , 3 , 0.
     

1 0 4
      
1 0 0
Beweis Sei x ∈ L 1 , 3 , 0. Dann gibt es a1 , a2 , a3 ∈ Z mit x =
      

1 0 4
         
x1 1 0 0 a1
x2  = a1 1 + a2 3 + a3 0 = a1 + 3a2  . Also folgt x1 ≡ x2 ( mod 3)
         

x3 1 0 4 a1 + 4a3
und x1 ≡ x3 (mod4), das heißt, x ∈ L.
 
x1
Sei nun x ∈ L, das heißt, x = x2  mit x1 ≡ x2 (mod3) und x1 ≡ x3 (mod4).
 

x3
Dann gibt es also a2 , a3 ∈ Z mit x2 = x1 + 3a2 und x3 = x1 + 4a2 . Damit ist x =
               
x1 x1 1 0 0 1 0 0
x2  = x1 + 3a2  = x1 1 +a2 3 +a3 0 ∈ L 1 , 3 , 0.
               

x3 x1 + 4a2 1 0 4 1 0 4
     
1 0 0
Damit folgt L = L 1 , 3 , 0 und L ist ein Gitter mit Basis
     

1 0 4
     
1 0 0
1 , 3 , 0.
     

1 0 4

(b) Behauptung Es gilt det(L) = 12.

Lösungsvorschläge zur Klausur MathKrypt KLL / 4


1 0 0
Beweis Es ist det(L) = det 1 3 0 = 12.
 

1 0 4

zu Aufgabe II.4

Sei q eine Primpotenz.

Behauptung Jedes quadratische Polynom aus Fq [T ] zerfällt über Fq2 in Linearfakto-

ren.

Beweis Sei f ∈ Fq [T ]. Hat f eine Nullstelle über Fq , dann zerfällt f schon in Linear-
faktoren, denn f ist vom Grad zwei. Damit zerfällt dann f natürlich auch über Fq2 in
Linearfaktoren.

Hat f keine Nullstelle, dann ist f schon irreduzibel über Fq , denn f ist ja quadratisch.
Dann ist Fq [T ]/(f ) = Fq2 ein Körper, und f hat über diesem Körper eine Nullstelle,
nämlich [T ]. Da f quadratisch ist, zerfällt f dann schon in Linearfaktoren.

zu Aufgabe II.5

(a) Sei p eine Primzahl, a ∈ Z mit p ∤ a. Sei a−1 ∈ Z mit aa−1 ≡ 1 mod p.
Behauptung ( a p ) = ( ap ).
−1

Beweis Es gilt aa−1 ≡ 1(modp), also 1 = ( p1 ) = ( aap ) = ( ap )( a p ). Damit folgt

−1 −1

( a p ) = ( ap )−1 . Da ( ap ) = ±1 gilt, folgt schon ( a p ) = ( ap ).

−1 −1

(b) Sei p eine Primzahl und a, b ∈ Z.

Behauptung Es gilt ( ap ) = ( pb ) genau dann, wenn es ein z ∈ Z mit z 6= 0 und
a ≡ bz 2 (modp) gibt.
Beweis Es gelte ( ap ) = ( pb ). Ist ( ap ) = ( pb ) = 0, dann ist a ≡ b ≡ 0(modp), und
wir können z = 1 wählen. Sei nun also ( ap ) = ( pb ) = ±1. Dann ist b invertierbar
in Z/pZ. Sei b−1 ∈ Z mit bb−1 ≡ 1(modp). Mit Teil (a) gilt:

a a b a b−1 ab−1
1 = ( )2 = ( )( ) = ( )( )=( ).
p p p p p p

Das Element ab−1 mod p ist also ein Quadrat in Z/pZ. Damit gibt es ein z ∈
Z \ {0} mit ab−1 ≡ z 2 (modp) oder a ≡ bz 2 (modp).
Lösungsvorschläge zur Klausur MathKrypt KLL / 5

Es gelte nun a ≡ bz 2 (modp) für ein z ∈ Z \ {0}. Ist b nicht invertierbar modp,
dann folgt b ≡ 0(modp) und damit auch a ≡ 0 mod p. Also ( ap ) = ( pb ) = 0.
Ist b invertierbar modp mit Inversem b−1 ∈ Z, dann ist ab−1 ≡ z 2 (modp), also
ab−1 mod p ein Quadrat in Z/pZ. Es folgt

ab−1 a b−1 a b
1=( ) = ( )( ) = ( )( )
p p p p p

mit Teil (a). Dann ist aber ( ap ) = ( pb ).

zu Aufgabe II.6

Behauptung Wenn man mit dem RSA-Verfahren eine Nachricht n zweimal verschlüs-
selt und zwar mit den öffentlichen Schlüsseln (m, e) und (m, f ), und wenn ggT(e, f ) = 1
gilt, dann kann man den Klartext n aus den beiden Schlüsseltexten ce = ne mod m und
cf = nf mod m berechnen.

Beweis Es gilt ggT(e, f ) = 1, also gibt es x, y ∈ Z mit xe + yf = 1. Wir berechnen

also cxe cyf ≡ (ne )x (nf )y ≡ nxe+yf ≡ n1 ≡ n(modm).